[Php-avanzado] Mantener una sesión entre dos servidores

Mati Prieto mep.prieto en gmail.com
Vie Nov 7 19:21:23 ART 2014 

Hola! buenas tardes, yo estoy en algo similar (mas o menos)... tengo que
hacer unos WebService RESTful en Java, y estaba analizando un par de
opciones: OAuth, OAuth2, OpenID o la autenticación que provee java
(mediante anotaciones, el archivo web.xml, SecurityContext). Queria
preguntarte Leo si tenes experiencia en el tema, o sabes que conviene mas,
y capaz la opinión le sirve a Mario también!

Muchas gracias! Saludos

El 7 de noviembre de 2014, 11:46, Leonardo Tadei - Pegasus Tech Supply <
leonardot en pegasusnet.com.ar> escribió:

> Hola Mario,
>
> El vie, 07-11-2014 a las 10:32 -0300, Mario Gomez Cassou escribió:
> > Hola gentes
> >
> > Preciso que los usuarios logueados en el sitio de la empresa donde
> > trabajo puedan entrar en forma transparente a una aplicación en mi
> > sitio
>
>         Lo que querés hacer es un ataque XSS (Cross Site Scripting) que los
> navegadores te van a impedir por todos los medios a su alcance...
>
> >  y no quiero que de ninguna manera un servidor tenga acceso al otro.
>
>         Si no provees un mecanismo para que un servidor pueda sincronizar
> los
> datos de los usuarios, nunca vas a poder validar autónomamente a los
> usuarios de A en B
>
> > Se me ocurrió que al saltar del servidor A al B este genere una sesión
> > con una variable V, redireccione a A mandándole V y que cuando la
> > vuelva a recibir de A dé por buena la sesión y corra la aplicación
> > deseada
>
>         Si B acepta cómo usuarios válidos solo a los que tengan una sesión,
> estás violando los principios de AAA, y en general esto hará muy
> vulnerable a B.
>
> > Tiene que haber algo mas sencillo no?
>
>         Podrías usar para la autentificación algún mecanismo externo como
> OpenID (o en el peor de los casos algún login vía Google o Twitter)
>         De esta forma los usuarios válidos son independientes de cada
> aplicación (y dejan de ser tus usuarios, dicho sea de paso).
>
> > Saludos
>
>         =mente!
>
> --
> Leonardo Tadei
> leonardot en pegasusnet.com.ar
> Web: http://leonardo.tadei.com.ar
> Firma pública: http://www.pegasusnet.com.ar/LeonardoTadei-public.key
>
> _______________________________________________
> Lista de correo: Php-avanzado
> Mensajes a la lista: Php-avanzado en pato2.fi.mdp.edu.ar
> Administración Web:
> http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
> Desubscripción:
> php-avanzado-request en pato2.fi.mdp.edu.ar?subject=unsubscribe
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://www3.fi.mdp.edu.ar/pipermail/php-avanzado/attachments/20141107/ef82816f/attachment.html>

Más información sobre la lista de distribución Php-avanzado